Gyanús Palo Alto Networks szkennelés
A GreyNoise október 3-i észlelése szerint rendkívüli növekedés zajlott a Palo Alto Networks bejelentkezési portáljait célzó szkennelési aktivitásban, nagyjából 48 órán belül mintegy 500%-os emelkedés következett be, amikor valamivel több mint 1 300 egyedi IP érintette a GreyNoise Palo Alto Networks Login Scanner címkéjét — ez jóval magasabb, mint a korábbi 90 nap átlagos napi értékei.
A forgalom jelentős része vizsgálati jellegűnek minősült és a megfigyelt IP-k nagy hányada az Egyesült Államokból származott, kisebb klaszterekkel az Egyesült Királyságban, Hollandiában, Kanadában és Oroszországban. GreyNoise korábbi elemzései alapján az ilyen hirtelen szkennelési hullámok néha előrejelzik új sebezhetőségek felfedezését vagy kihasználását, így az aktivitás önmagában is figyelmeztető jelként értelmezhető — bár a szervezet azt is hangsúlyozza, hogy a korábbi Palo Alto-specifikus hullámok nem mindig követték azonnal javítást igénylő felfedezéseket.
Akik Palo Alto eszközöket, különösen GlobalProtect vagy PAN-OS alapú bejelentkezési szolgáltatásokat üzemeltetnek, ellenőrizzék konfigurációikat, érvényesítsék a legfrissebb patch-eket, biztosítsanak erős admin-hozzáférést (MFA, szigorú jelszó- és jogosultságkezelés), és emeljék a bejelentkezési forgalom észlelésének prioritását az SIEM/EDR rendszerben. A mostani megfigyelés arra is int, hogy a védelmi csapatok gyorsan vizsgálják át a naplókat és blokkolják a gyanús forrásokat, mert a koordinált reconnaissance gyakran a támadólánc korai fázisa lehet.
